今天你吃了没？

cisco的logging只会保存一段时间，一般都会搭建一台日志服务器用于保存日志。 这里用ubuntu 20.04的rsyslog服务和C9300示例。 首先创建日志文件 sudo mkdir /var/log/cisco sudo touch /var/log/cisco/core.log sudo chown -R syslog:adm /var/log/cisco 然后新建一个配置文件用于获取core的日志 sudo vim /etc/rsyslog.d/core.conf 文件内写入 local7.*      /var/log/cisco/core.log 编辑rsyslog配置文件 sudo vim /etc/rsyslog.conf 取消这两行的注释 module(load=imudp") input(type="imudp" port="514") 保存后重启rsyslog service 开启防火墙514端口 sudo ufw allow 514 sudo ufw reload 这里服务器的配置完成 登入交换机 config terminal logging on logging history debugging logging trap debugging logging facility local0 logging host xx.xx.xx.xx   这里填写服务器ip地址 配置完成 现在cat /var/log/cisco/core.log就坑看到日志信息了

最近公司更换了新的交换机，乘着这个时候，顺便把Internet流量分析给做了。 之前的流量分析是很古老的mtrg，基本无法自定义，而且通过一台物理机去抓包，没有虚拟化着实浪费。           通过一阵research，cisco的网络设备都支持netflow，来分级和诊断网络流量。netflow协议是cisco提出的，直接将流量结果发送给收集设备，省去了抓包的环节。 这样不需要占用额外的物理网卡，而且cpu的开销也会降低很多。          确定了方向，那么开始在互联网上寻找开源netflow分析方案。做得比较好的是ntopng和fastnetmon。          这两个开源方案都有免费社区版和付费版，都有尝试搭建。           ntopng自带web界面，功能非常多，但我们目前只需要做流量top的功能，ntopng的功能太复杂，而且流量分析结果需要付费版才用得好。          fastnetmon的免费版连web界面都有没，但是支持graphite和grafana，虽然功能简陋，但系统开销也少，而且相关的资源也比较多，可自定义的设定比较多。          接下来就是开始搭建环境和网络配置          目标是分析Internet流量的使用状况，可以直接在router上做net flow，也可以在core switch上对连接router的port做，这里选择在switch上将连接router的port上做net flow          根据cisco的netflow v9说明，需要配置flow record、flow exporter和flow monitor。          首先新建flow record。           en         config terminal               创建input方向的record           flow record ct50m-record-input         Description Internet Netflow Input Record         match datalink vlan input         match datalink mac source address input         match data